Routing problem iptables

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Routing problem iptables

Beitragvon klaus1 » Fr 20 Jul, 2007 18:25

Hallo!

Bitte euch um Hilfe bei meinem Netzwerk:


---ROUTER(192.168.0.1)---Router2(192.168.10.1)------Router3-Bridge(192.168.10.240)

PCs:
Router2 Privates NETZ: 192.168.10.x
Router3 Privates NETZ: 192.168.11.x

Alle Subnetze: 255.255.255.0

Problem: Kein Zugriff von PC auf Router2 zu PC auf Router3 und umgekehrt.
Welche Einstellungen in form der firewall.user (iptables befehle) sind hier exakt nötig?

Danke,
Klaus
klaus1
Board-Mitglied
Board-Mitglied
 
Beiträge: 148
Registriert: Mo 22 Aug, 2005 17:42

Beitragvon wicked_one » Sa 21 Jul, 2007 10:13

Nachdem Router3 nach deiner Angabe eine Bridge ist, kann der PC auf keinen Fall die IP 192.168.11.x haben...

oder ich hab etwas falsch verstanden.
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon jutta » Sa 21 Jul, 2007 11:22

soll das sowas aehnliches werden? http://xDSL.at/viewtopic.php?t=34580

wenns nicht ein reines uebungsbeispiel ist: was ist der tiefere sinn daran, zwei netze durch router zu trennen und dann doch wieder alle clients auf alle anderen clients zugreifen zu lassen?
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon klaus1 » Sa 21 Jul, 2007 13:31

Ist kein Übungsspiel, sondern realität, ich habe am ROUTER 192.168.0.1 (mein Internet Zugang von SIL.AT) einen WLAN Router2 dran hängen, dort aufgrund der Reichweite eine Bridge die über die IP: 192.168.10.240 sowie 192.168.11.1 erreichbar ist. (hat zwei WLAN Netze, deshalb).

mfg
klaus1
Board-Mitglied
Board-Mitglied
 
Beiträge: 148
Registriert: Mo 22 Aug, 2005 17:42

Beitragvon jutta » Sa 21 Jul, 2007 13:41

was meinst du mit "bridge" - eine ethernet-bridge oder eine wlan-bridge?
und wo spielt da die iptables firewall mit?

grundsaetzlich ist eine bridge dadurch gekennzeichnet, dass beide enden im selben ip-netz sind. 192.168.10.xx und 192.168.11.xx werden daher nicht passen.

an sich brauchst du aber gar keine router, weil das zyxel schon einer ist. verwende die geraete doch als access-point.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon klaus1 » Sa 21 Jul, 2007 13:45

Hi Danke fĂĽr die Zahlreiche Diskussionsrunde.

Also nochmal genauer und ausfĂĽhrlicher meine Topologie.
Es schaut so aus, dass
ROUTER1 fix vorgegeben und konfiguriert ist von meinem ISP. Dieser hat eben einen DHCP laufen und versorgt mich mit NAT in die AuĂźenwelt.
Der Router2 von mir besitzt 2 Interfaces:

ETHERNET: 192.168.0.22 (Fixe IP eingestellt).
WLAN: 192.168.10.x (hier läuft ein DHCP, der Router reagiert auf 192.168.10.1)

ROUTER3 ist aufgrund der geringen WLAN Reichweite von Router2 eingesetzt.
Dieser besitzt 2 WLAN Interfaces mit folgenden IPs:
192.168.11.x und wird per 192.168.10.240 mit dem Router2 ĂĽber WLAN verbunden.
Die Clients erhalten die IP 192.168.11.x per DHCP und aben als Gateway 192.168.11.1 eingestellt.

Clients des Router2 erhalten den Gateway 192.168.10.1 und eine IP im 192.168.10.x Bereich.

Alle Subnetz Masken sind auf 255.255.255.0 eingestellt.

Die Internet Verbindung läuft auf ALLEN Clients problemlos.
Es liegt hier nur ein Firewall problem vor.

Router 2 und 3 sind sog. FON ROUTER.
Beispielsweise schaut die firewall.user auf Router2 so aus:

Code: Alles auswählen
config_load remote                                                                                     
config_get ssh method ssh                                                                               
config_get webif method webif                                                                           
config_get rssh method rssh                                                                             
                                                                                                       
WAN="$wan_ifname"                                                                                       
LAN="$lan_ifname"                                                                                       
                                                                                                       
iptables -F input_rule                                                                                 
iptables -F output_rule                                                                                 
iptables -F forwarding_rule                                                                             
iptables -t nat -F prerouting_rule                                                                     
iptables -t nat -F postrouting_rule                                                                     
                                                                                                       
### BIG FAT DISCLAIMER                                                                                 
## The "-i $WAN" is used to match packets that come in via the $WAN interface.                         
## it WILL NOT MATCH packets sent from the $WAN ip address -- you won't be able                         
## to see the effects from within the LAN.                                                             
                                                                                                       
### Open port to WAN and LAN                                                                           
## -- This allows port 22 to be answered by (dropbear on) the router                                   
#iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 22 -j ACCEPT                                 
#iptables        -A input_rule      -i $WAN -p tcp --dport 22 -j ACCEPT                                 
                                                                                                       
### Open Webinterface to WAN (available to LAN only by default)                                         
#iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 80 -j ACCEPT                                 
#iptables               -A input_rule      -i $WAN -p tcp --dport 80 -j ACCEPT                         
                                                                                                       
### Port forwarding                                                                                     
## -- This forwards port 8080 on the WAN to port 80 on 192.168.1.2                                     
# iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 8080 -j DNAT --to 192.168.1.2:80           
# iptables        -A forwarding_rule -i $WAN -p tcp --dport 80 -d 192.168.1.2 -j ACCEPT       

### DMZ                                                                                                 
## -- Connections to ports not handled above will be forwarded to 192.168.1.2                           
# iptables -t nat -A prerouting_rule -i $WAN -j DNAT --to 192.168.1.2                                   
# iptables        -A forwarding_rule -i $WAN -d 192.168.1.2 -j ACCEPT                                   
                                                                                                       
if enabled $rssh && enabled $ssh                                                                       
then                                                                                                   
        iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 22 -j ACCEPT                         
        iptables        -A input_rule      -i $WAN -p tcp --dport 22 -j ACCEPT                         
fi                                                                                                     
                                                                                                       
if enabled $webif                                                                                       
then                                                                                                   
        iptables -t nat -A prerouting_rule -i $WAN -p tcp --dport 80 -j ACCEPT                         
        iptables                -A input_rule      -i $WAN -p tcp --dport 80 -j ACCEPT         


klaus1
Board-Mitglied
Board-Mitglied
 
Beiträge: 148
Registriert: Mo 22 Aug, 2005 17:42

Beitragvon jutta » Sa 21 Jul, 2007 13:56

> Dieser besitzt 2 WLAN Interfaces mit folgenden IPs:
192.168.11.x und wird per 192.168.10.240 mit dem Router2 ĂĽber WLAN verbunden.

ok, dann verwendest du ihn als router. kann man ihn auch als bridge oder repeater konfigurieren? (dh nur mit einer wartungs-ip) das wuerde das leben sehr erleichtern.

eigentlich brauchst du naemlich nur einen einzigen router: das zyxel.

dem router2 gibts du die lan-ip 192.168.0.2, dem router3 die lan-ip 192.168.0.3. (wan-ip entweder freilassen oder irgendeinen phantasiewert einsetzen, der nicht stoert. zb 192.168.25.x)

dann steckst du das vom modem kommende kabeln in einen lan-port des router2. den wan-port laesst du frei.

schau dir die beispiele von diskette an http://www.diskette.at/faq/Single_multiuser.htm
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien


ZurĂĽck zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 49 Gäste